DECISÃO<br>Trata-se de recurso especial, interposto por WILLIAM AUGUSTO DOS SANTOS, fundado no art. 105, III, "a" e "c" da Constituição Federal, em face de acórdão proferido pelo eg. Tribunal de Justiça do Estado de São Paulo, assim ementado (e-STJ, fls. 313/324) :<br>DIREITO PRIVADO. APELAÇÃO. OBRIGAÇÃO DE FAZER C. C. INDENIZAÇÃO POR DANO MORAL. IMPROCEDÊNCIA.<br>I. Caso em Exame Ação condenatória de obrigação de fazer cumulada com indenização por dano moral, com pedido de tutela de urgência, ajuizada contra Boa Vista Serviços S. A. O autor alega comercialização de seus dados pessoais sem consentimento. Sentença de improcedência, com condenação do autor ao pagamento de despesas processuais e honorários advocatícios, cuja exigibilidade está suspensa.<br>II. Questão em Discussão 2. A questão em discussão consiste em determinar a legalidade da divulgação e comercialização de dados pessoais pelo réu sem consentimento prévio do autor.<br>III. Razões de Decidir<br>3. A Lei n.º 12.414/2011 permite a formação e consulta a bancos de dados para proteção ao crédito, sem necessidade de consentimento prévio.<br>4. A Lei n.º 13.709/18 (LGPD) não considera sensíveis os dados utilizados, como CPF e endereço, que são obtidos de registros públicos. A utilização de escore de crédito é prática legal, conforme Súmula 550 do STJ. IV. Dispositivo e Tese<br>5. Recurso não provido.<br>Os embargos de declaração opostos foram rejeitados (e-STJ, fls. 3369/351).<br>Em suas razões recursais, a parte recorrente alegou divergência jurisprudencial quanto à interpretação dada ao art. 43, parágrafos 1º e 2º, do Código de Defesa do Consumidor, sustentando, em síntese, que restou comprovado, nos autos, a comercialização de seus dados pessoais, pela empresa recorrida, sem que houvesse comunicação ou autorização prévia, o que constitui ilícito.<br>Suscita violação dos arts. 21 do Código Civil; 3º, parágrafos 1º e 3º, I, 4º e 5º, VII, da Lei Federal 12.414/2011; e 7º, I e X, parágrafos 8º e 9º, da Lei Federal 13.709/2018, defendendo que as informações pessoais disponibilizadas pelos bancos de dados, sem consentimento do consumidor, devem se restringir ao score de crédito.<br>Alega, por fim, que a disponibilização de dados pessoais do consumidor em banco de dados acessível a terceiros configura, por si só, dano moral in re ipsa.<br>O recurso recebeu crivo positivo de admissibilidade na origem, ascendendo a esta Corte Superior para julgamento.<br>É o relatório.<br>Decido.<br>Delineada a controvérsia, observa-se que o Tribunal de origem excluiu a responsabilização da empresa recorrida pela disponibilização dos dados cadastrais da parte recorrente, consignando, para tanto, que os dados pessoais cadastrais não confidenciais ou sensíveis não encontram óbice para serem disponibilizados a prestadoras de serviços como "Acerta Essencial", "Acerta Intermediário", "Acerta Completo", "Dataplus" e congêneres, in verbis:<br>"Tal como acenado no relatório acima, trata-se de ação condenatória de obrigação de fazer c. c. indenizatória por dano moral com pedido de tutela de urgência contra Boa Vista Serviços S. A., em linhas gerais e apertada síntese, sob a alegação do autor de ter identificado mediante consulta paga a comercialização de seus dados pessoais, sem prévia comunicação e consentimento de referido (fls. 01/17).<br>(..)<br>Com efeito, encontra-se como fato incontroverso nos autos, aliás, a partir de informação da própria ré, que referida detém banco de dados, oferecendo ao mercado de crédito diversos serviços, dentre os quais se destaca o constante do SCPC Serviço Central de Proteção ao Crédito, que congrega informações positivas e negativas sobre consumidores da maior parte do território nacional e tem, como objetivo primordial, permitir que empresas e consumidores possa contar, nas transações comerciais das quais participam cotidianamente, contudo, sustenta a legitimidade de referida atuação. "  g.n <br>(..)<br>Da situação tratada nos autos, ademais, não se extrai tenha ocorrido disponibilização pela ré de informações, dados, enfim, confidenciais ou sensíveis, mas apenas aqueles que de ordinário, corriqueiramente são consultados em relações de crédito, tais como CPF Cadastro de Pessoa Física, endereços, números telefônicos, nome(s) do(s) pai(s), data de nascimento, grau de instrução, os quais são obtidos a partir de consulta a registros públicos ou cadastros preenchidos pela própria pessoa dos dados reportados. Não há qualquer aceno nos autos de disponibilização de dados discriminatórios, tais como origem social, de etnia, constituição biogenética, orientação sexual, religiosa, convicções políticas, enfim, não cuidam de dados confidenciais repassados pela ré.<br>(..)<br>Nessa linha, efetuada a ressalva quanto a necessidade de veracidade de informação, passível de retificação, nada obsta a disponibilização de informações da pessoa física (natural) ou jurídica existentes em empresas prestadoras de serviços, tal como a empresa ré, inclusive em relação às denominações "Acerta Essencial", "Acerta Intermediário", "Acerta Completo", "Dataplus" e congêneres.<br>(..)<br>Diante disso tudo, não há cogitar em caracterização de violação aos direitos da personalidade e, por conseguinte, não se justifica a reparação moral perseguida.<br>No mais, sequer há demonstração clara, robusta e convincente de que a ré tenha comercializado ou esteja comercializando dados do autor e menos ainda sensíveis.<br>Dessa forma, por tudo isso, efetuando-se análise de forma contextualizada do conteúdo dos autos, a sentença deve ser mantida, nos termos em que proferida, mais pelo aqui expendido."  g.n <br>Sobre o tema, é importante destacar que, conforme dispõe a Lei Geral de Proteção de Dados, o responsável pelo banco de dados está autorizado a abrir o cadastro de informações de adimplemento sem a necessidade de consentimento prévio do titular. Todavia, o repasse dessas informações, tanto cadastrais quanto de adimplemento, deve se restringir exclusivamente a outros bancos de dados, nos termos do art. 4º, III, da referida Lei nº 12.414/2011, com redação dada pela LC nº 166/2019.<br>Caso um terceiro, não autorizado, deseje acessar as informações cadastrais de um consumidor cadastrado, mesmo que se trate de dados pessoais não sensíveis, é imprescindível que obtenha o consentimento prévio e expresso do titular.<br>Assim, é de rigor a reforma do acórdão no ponto objeto do recurso, uma vez que, no caso dos autos, não se tem notícias quanto ao expresso aval para o compartilhamento dos dados, ainda que não sensíveis, "em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento." (REsp 2.133.261/SP, relatora Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 8/10/2024, DJe de 10/10/2024.)<br>Ainda, no voto condutor do REsp 2.133.261/SP acima citado, a Relatora, eminente Ministra NANCY ANDRIGHI, adiciona importantes fundamentos a respeito da diferenciação entre a autorização para o compartilhamento da pontuação de crédito (score) e dos dados cadastrais:<br>" 36. Nesse sentido, dispõe o art. 4º, IV, que o gestor de banco de dados pode "IV - disponibilizar a consulentes: a) a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas; e b) o histórico de crédito, mediante prévia autorização específica do cadastrado", com redação dada pela LC nº 166/2019.<br>37. Nota-se que a hipótese da alínea "a" trata do score de crédito (pontuação de crédito) e dispensa o consentimento prévio do cadastrado, em conformidade com a Súmula 550/STJ e o Tema 710/STJ, embora anteriores à LC nº 166/2019.<br>38. A única outra informação que pode ser disponibilizada aos consulentes, além do score de crédito, é o "histórico de crédito" (alínea "b") e, para tanto, a Lei exige a prévia autorização específica do cadastrado.<br>39. O histórico de crédito é definido pela Lei nº 12.414/2011 como o "conjunto de dados financeiros e de pagamentos, relativos às operações de crédito e obrigações de pagamento adimplidas ou em andamento por pessoa natural ou jurídica". Não abrange, portanto, informações cadastrais (dados pessoais não sensíveis) - hipótese do inciso III do art. 4º, cujo compartilhamento é autorizado apenas para outros bancos de dados."  g.n <br>Nessa linha de intelecção:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. DISTINÇÃO. BANCO DE DADOS. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. TERCEIROS CONSULENTES. RESTRIÇÃO LEGAL. DISPONIBILIZAÇÃO INDEVIDA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer cumulada com compensação de danos morais.<br>2. No particular, não se aplicam o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", sendo este regulamentado pela Lei nº 12.414/2011.<br>3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV).<br>Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes.<br>4. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes.<br>5. Recurso especial conhecido e provido.<br>(REsp n. 2.207.172/SP, relatora Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 5/8/2025, DJEN de 15/8/2025.)<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. DISTINÇÃO. BANCO DE DADOS. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. TERCEIROS CONSULENTES. RESTRIÇÃO LEGAL. DISPONIBILIZAÇÃO INDEVIDA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer c/c compensação de danos morais.<br>2. No particular, não se aplicam o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", sendo este regulamentado pela Lei nº 12.414/2011.<br>3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV).<br>Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes.<br>4. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes.<br>5. Recurso especial conhecido e provido.<br>(REsp n. 2.201.694/SP, relator Ministro RICARDO VILLAS BÔAS CUEVA, relatora para acórdão Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 5/8/2025, DJEN de 15/8/2025.)<br>Por fim, a disponibilização indevida (em ofensa aos limites legais) de dados pessoais pelos bancos de dados para terceiros , caracteriza dano moral presumido. Nesse sentido:<br>RECURSO ESPECIAL. CONSUMIDOR. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. CADASTRO DE CRÉDITO. TEMA Nº 710/STJ E SÚMULA Nº 550/STJ. CREDIT SCORING. DISTINÇÃO. DADOS PESSOAIS. COMERCIALIZAÇÃO. TERCEIROS CONSULENTES. DISPONIBILIZAÇÃO. DEVERES LEGAIS DE TRATAMENTO DE DADOS. INOBSERVÂNCIA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. A comercialização dos dados pessoais do consumidor por meio dos serviços "Acerta Essencial", "Acerta Intermediário", "Acerta Completo" e "Dataplus", oferecidos aos clientes da recorrida, não foi enfrentada no julgamento do Tema nº 710/STJ e na Súmula nº 550/STJ, consistindo, assim, em caso de distinção (distinguishing).<br>2. A obtenção de informações cadastrais do consumidor por terceiros, ainda que sejam dados pessoais não sensíveis, exige o prévio e expresso consentimento do titular, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados a esses consulentes, ficando caracterizada, com a comercialização indevida, o dano moral presumido (in re ipsa).<br>3. Recurso especial provido.<br>(REsp n. 2.206.924/SP, relator Ministro RICARDO VILLAS BÔAS CUEVA, TERCEIRA TURMA, julgado em 9/6/2025, DJEN de 12/6/2025.)<br>Desse modo, é evidente a divergência entre o acórdão recorrido e a jurisprudência desta Corte, motivo pelo qual é impositivo o provimento do recurso especial, para a devida adequação do julgado à jurisprudência do STJ.<br>Assim, dou provimento ao recurso especial, e determino o retorno dos autos ao Tribunal de origem, para a adequação do julgado ao entendimento do STJ, nos termos da decisão supra.<br>Em virtude da reforma, inverto os ônus sucumbenciais, na proporção estabelecida na sentença , ressalvada a concessão da gratuidade de justiça.<br>Publique-se.<br>EMENTA